また 2 か月ぶりに、ESXi Arm Edition の新しいバージョンの登場です。今回は  version 1.8 で、今回もまだ vSphere 7.0 0 ベースで、Build 19076756 です。

flings.vmware.com

インストールは

前回の version 1.7 までもそうでしたが、今回もフレッシュインストールのみがサポートされます。インストールの際に「Preserve VMFS」を選択すれば、仮想マシンは消えることは無いのでインストール後にデータストアブラウザを開いて仮想マシンの再登録が可能です。x86 の ESXi とは異なりアップグレードはできません。このアップグレード必須というところはWebページの Requirements やドキュメントにも書かれていないのですが、CHANGELOG に記載があります。このあたりは flings なのでそこは我慢。

また、vCenter Server についても vCenter Server Appliance（VCSA）7.0 Update 1 は使えますが、FT や HA を使いたい、または DRS を使う場合は vCenter Server Appliance（VCSA）7.0.0c または 7.0.0d が必須になります。この vCenter Server Appliance（VCSA）7.0.0c (Build 16620007) または7.0.0d (Build 16749653) を使う場合は、別途 vmware-fdm-7.0c-16620014.arm64.vib または vmware-fdm-7.0d-16749671.arm64.vib を組み込む必要があります。組み込み方はドキュメント ESXi-Arm-Fling-Doc.pdf の27 ページからある「10. Enabling vSphere HA」を参照して行ってください。

なにが変わったの？

同じ月のうちで 1.7 から 1.8 になっているのでとても小規模な修正にとどまっています。以下が新しく変わった点です。すべて修訂や改善のみです。

• OpenBSD ゲストをサポートするための ACPI の修正
• 間接テーブルをサポートしない実装におけるITSデバイスIDの幅の処理を改善
• VMkernel TLB 処理の改善
• NUMA 処理の改善（特にエラー報告に関する部分）

 ダウンロード情報

ダウンロードには My VMware アカウントが必要です。My VMware アカウントは個人でも作成できるので、リンクから My VMware アカウントを作成の後に、

ESXi Arm Edition | VMware Flings からイメージをダウンロードしてください。なお、リリースノートは以下の URL で見ることができます。

flings.vmware.com

この記事から読み始めた方のための補助情報

ESXi Arm Edition は単体でも使うことができますが、vCenter Server 配下でも

使うことができます。使用できる vCenter Server には以下の要件があります。

• ESXi-Arm ホストの管理には、vCenter Server Appliance（VCSA）7.0 以降が必要です。
• ESXi-Arm ホストで vSphere HA および vSphere FT を有効にしたいときは、vCenter Server Appliance（VCSA）7.0.0c または 7.0.0d を使います。また、vSphere DRS が必要な場合は VCSA7.0.0c または 7.0.0d を使用するとともに、VCSA7.0c の場合は vmware-fdm-7.0c-16620014.arm64.vib を、VCSA7.0d の場合は vmware-fdm-7.0d-16749671.arm64.vib をダウンロードし適用する必要があります。
  ※ vCSA によって適用する vib が異なりますので注意してください。
  ※vCSA 7.0.0c / 7.0.0d は VMware サイトの製品のダウンロードからダウンロードできます。
• vCenter Server Appliance（VCSA）7.0 Update 1以降を使用することは可能ですが、いくつかの制限があります。
  • vSphere DRSは機能が動作しません。
  • vCLS（vCenter Cluster Services）対策が必要です。（現在の vCenter Server Appliance は x86 ベースの仮想マシンのため、vCLS により分散コントロールプレーンサービスをESXiホストにデプロイしようとしてもできないため、ファイルの削除処理が走るとともに再度のデプロイ処理も走るため、延々と処理が続いているような状態になります。）

VCSA 7.0 U1 以降を使う場合は

どうしても VCSA 7.0.0c または VCSA 7.0.0d が入手できず VCSA 7.0 U1 以降を使わざるを得ない場合は、以下の KB を参考にして vCLS を無効にしてください。これにより、vCLS の動作が停止してメッセージも出なくなります。

kb.vmware.com

この vCLS 停止は既存の x86 の vSphere 7.0x でも有効なので、vCLS を使用しない場合はこの設定をするのもよいかもしれません。

vCentr Server Appliance は x86 ベースしかないので、ESXi Arm Edition 以外に最低 1台の x86 ESXi が必要になります。でも、それを準備すれば安価に vSAN まで使える vSphere 環境が得られるのは、家ラボやっている人には朗報です。ただし、私のように Raspberry Pi 4 で環境を作っている場合はそのホストのメモリーが 8GB しかないので、できることは最低限になります。例えば vSphere の資格を取るための勉強用としては良いかもしれませんが、本格的に vSphere ノウハウを習得するために家ラボを作る場合には、やはり x86 ホストは必要になるかなと思います。

どんなことに使えるの

もともと Raspberry Pi 4 は最大 8GB しかメモリーがありません。そのため、Raspberry Pi 4 の上で Arm ベースの仮想マシンは数動かせません。あくまでも vSphere 7 をテストしてみたい、または ARM 版の ESXi を体験したいなどの用途がメインになると思います。あとは、VMware の資格を取るための勉強の環境という使い方もあるでしょう。本番としては使うなとも書かれていますので、あくまでも評価という使い方になります。

過去の ESXi Arm Edition の記事

今までの記事のリストがここで見られますので、併せてご覧ください。

imaisato.hatenablog.jp

※VMSA-2021-0028 の情報が日々変わるので、マイナー番号が変わったら新しいページを起こすことにしました。VMSA-2021-0028.5 / 2021/12/20 はページを起こす前にVMSA-2021-0028.6 になったので、記録に残してありません。

Apache Log4j は VMware 製品にも影響を及ぼしていますので要注意！！

Apache Log4j のセキュリティアラート CVE-2021-44228, CVE-2021-45046 にたいする情報として、VMware では VMware のVMware Security Solutions のページに、VMSA-2021-0028としてのセキュリティアラートを掲示しています。現在は 6回目の大きな情報更新として VMSA-2021-0028.6になっています。CVE-2021-45046 も CVSSv3 が 9.0 に引き上げられてしまいました。

なかなか完全終息に至っていませんが、以前のようにパッチもワークロードも追加情報としての KB もないというものはなくなりました。ただセキュリティ界隈では対策が遅れたところを悪用したその先の第二波があるのではといわれているので、可能な限り早めに対策をすることが必要かと思います。

影響を受ける製品は

非常に多くの製品が影響を受けました。まだ評価中のものもあるようで増え続ける可能性も残っています。今回の VMSA-2021-0028.4 から VMSA-2021-0028.6 に変わった際に追加されたプロダクトは VMware Smart Assurance M&R だけでした。

• VMware Horizon
• VMware vCenter Server
• VMware HCX
• VMware NSX-T Data Center
• VMware Unified Access Gateway
• VMware WorkspaceOne Access
• VMware Identity Manager 
• VMware vRealize Operations
• VMware vRealize Operations Cloud Proxy
• VMware vRealize Automation
• VMware vRealize Lifecycle Manager
• VMware Site Recovery Manager, vSphere Replication
• VMware Carbon Black Cloud Workload Appliance
• VMware Carbon Black EDR Server
• VMware Tanzu GemFire
• VMware Tanzu GemFire for VMs
• VMware Tanzu Greenplum
• VMware Tanzu Operations Manager
• VMware Tanzu Application Service for VMs
• VMware Tanzu Kubernetes Grid Integrated Edition
• VMware Tanzu Observability by Wavefront Nozzle
• Healthwatch for Tanzu Application Service
• Spring Cloud Services for VMware Tanzu
• Spring Cloud Gateway for VMware Tanzu
• Spring Cloud Gateway for Kubernetes
• API Portal for VMware Tanzu
• Single Sign-On for VMware Tanzu Application Service
• App Metrics
• VMware vCenter Cloud Gateway
• VMware vRealize Orchestrator
• VMware Cloud Foundation
• VMware Workspace ONE Access Connector
• VMware Horizon DaaS
• VMware Horizon Cloud Connector
• VMware NSX Data Center for vSphere
• VMware AppDefense Appliance
• VMware Cloud Director Object Storage Extension
• VMware Telco Cloud Operations
• VMware vRealize Log Insight
• VMware Tanzu Scheduler
• VMware Smart Assurance NCM
• VMware Smart Assurance SAM [Service Assurance Manager]
• VMware Integrated OpenStack
• VMware vRealize Business for Cloud
• VMware vRealize Network Insight
• VMware Cloud Provider Lifecycle Manager 
• VMware SD-WAN VCO
• VMware NSX-T Intelligence Appliance
• VMware Horizon Agents Installer
• VMware Tanzu Observability Proxy
• VMware Smart Assurance M&R

VMware でも進行中のイベントとして情報が頻繁更新されることがあるので、当該アドバイザリを確認するようにと書いてあります。

なぜ発生しているの

CVE-2021-44228 と CVE-2021-45046 によって特定された Apache Log4j の重大な脆弱性の影響で、それらを利用している VMware 製品に影響が出ているからです。Apache Log4j は Java ベースのロギングできるライブラリで、設定でログ出力方法、出力先、フォーマット指定やフィルタリングをログレベルを指定しながら扱うことができます。そのため VMware のみならずログを収集して処理することが必要なところでは広く使われているものです。

現状は

現在は以下の通りです。一日の中でも頻繁に情報が変わるので、必ずVMSA-2021-0028 を参照して確認をしてください。以下の情報は 2021/12/23 5:00 に私が確認した時の情報です。

参考文献

FIRST CVSSv3 Calculator:

CVE-2021-44228

CVE-2021-45046

Mitre CVE Dictionary Links:

CVE-2021-44228

CVE-2021-45046

変更ログ

オリジナルの VMSA-2021-0028 の変更ログです。細かい変更はログとして公開されていませんでした。

2021-12-10: VMSA-2021-0028

Initial security advisory.

2021-12-11: VMSA-2021-0028.1

Updated advisory with workaround information for multiple products including vCenter Server Appliance, vRealize Operations, Horizon, vRealize Log Insight, Unified Access Gateway.

2021-12-13: VMSA-2021-0028.2

Revised advisory with updates to multiple products.

2021-12-15: VMSA-2021-0028.3

Revised advisory with updates to multiple products. In addition, added CVE-2021-45046 information and noted alignment with new Apache Software Foundation guidance. 

2021-12-17：VMSA-2021-0028.4

Revised advisory with updates to multiple products.

2021-12-20: VMSA-2021-0028.5

Added a note on current CVE-2021-45105 investigations.

2021-12-21: VMSA-2021-0028.6

Revised advisory with updates to multiple products, including vRealize Operations and vRealize Log Insight.

早くパッチが出て解消してくれることを願うだけですね。

※VMSA-2021-0028 の情報が日々変わるのですが、CVE-2021-44228, CVE-2021-45046 の2つの対策になってきたのと、さらに情報が変わってきたので別ページに移行しました。

Apache Log4j は VMware 製品にも影響を及ぼしていますので要注意！！

Apache Log4j のセキュリティアラート CVE-2021-44228, CVE-2021-45046 にたいする情報として、VMware では VMware のVMware Security Solutions のページに、VMSA-2021-0028としてのセキュリティアラートを掲示しています。現在は 4回目の大きな情報更新として VMSA-2021-0028.4になっていますが、なかなか完全終息に至っていませんが、以前のようにパッチもワークロードも追加情報としての KB もないというものはなくなりました。ただセキュリティ界隈では対策が遅れたところを悪用したその先の第二波があるのではといわれているので、可能な限り早めに対策をすることが必要かと思います。

影響を受ける製品は

非常に多くの製品が影響を受けました。まだ評価中のものもあるようで増え続ける可能性も残っています。

• VMware Horizon
• VMware vCenter Server
• VMware HCX
• VMware NSX-T Data Center
• VMware Unified Access Gateway
• VMware WorkspaceOne Access
• VMware Identity Manager 
• VMware vRealize Operations
• VMware vRealize Operations Cloud Proxy
• VMware vRealize Automation
• VMware vRealize Lifecycle Manager
• VMware Site Recovery Manager, vSphere Replication
• VMware Carbon Black Cloud Workload Appliance
• VMware Carbon Black EDR Server
• VMware Tanzu GemFire
• VMware Tanzu GemFire for VMs
• VMware Tanzu Greenplum
• VMware Tanzu Operations Manager
• VMware Tanzu Application Service for VMs
• VMware Tanzu Kubernetes Grid Integrated Edition
• VMware Tanzu Observability by Wavefront Nozzle
• Healthwatch for Tanzu Application Service
• Spring Cloud Services for VMware Tanzu
• Spring Cloud Gateway for VMware Tanzu
• Spring Cloud Gateway for Kubernetes
• API Portal for VMware Tanzu
• Single Sign-On for VMware Tanzu Application Service
• App Metrics
• VMware vCenter Cloud Gateway
• VMware vRealize Orchestrator
• VMware Cloud Foundation
• VMware Workspace ONE Access Connector
• VMware Horizon DaaS
• VMware Horizon Cloud Connector
• VMware NSX Data Center for vSphere
• VMware AppDefense Appliance
• VMware Cloud Director Object Storage Extension
• VMware Telco Cloud Operations
• VMware vRealize Log Insight
• VMware Tanzu Scheduler
• VMware Smart Assurance NCM
• VMware Smart Assurance SAM [Service Assurance Manager]
• VMware Integrated OpenStack
• VMware vRealize Business for Cloud
• VMware vRealize Network Insight
• VMware Cloud Provider Lifecycle Manager 
• VMware SD-WAN VCO
• VMware NSX-T Intelligence Appliance
• VMware Horizon Agents Installer
• VMware Tanzu Observability Proxy

VMware でも進行中のイベントとして情報が頻繁更新されることがあるので、当該アドバイザリを確認するようにと書いてあります。

なぜ発生しているの

CVE-2021-44228 と CVE-2021-45046 によって特定された Apache Log4j の重大な脆弱性の影響で、それらを利用している VMware 製品に影響が出ているからです。Apache Log4j は Java ベースのロギングできるライブラリで、設定でログ出力方法、出力先、フォーマット指定やフィルタリングをログレベルを指定しながら扱うことができます。そのため VMware のみならずログを収集して処理することが必要なところでは広く使われているものです。

現状は

現在は以下の通りです。一日の中でも頻繁に情報が変わるので、必ずVMSA-2021-0028 を参照して確認をしてください。以下の情報は 2021/12/19 17:00 に私が確認した時の情報です。

変更ログ

オリジナルの VMSA-2021-0028 の変更ログです。細かい変更はログとして公開されていませんでした。

2021-12-10: VMSA-2021-0028

Initial security advisory.

2021-12-11: VMSA-2021-0028.1

Updated advisory with workaround information for multiple products including vCenter Server Appliance, vRealize Operations, Horizon, vRealize Log Insight, Unified Access Gateway.

2021-12-13: VMSA-2021-0028.2

Revised advisory with updates to multiple products.

2021-12-15: VMSA-2021-0028.3

Revised advisory with updates to multiple products. In addition, added CVE-2021-45046 information and noted alignment with new Apache Software Foundation guidance. 

2021-12-17：VMSA-2021-0028.4

Revised advisory with updates to multiple products.

このページも .4 に合わせて新しくしました。

早くパッチが出て解消してくれることを願うだけですね。

また 2 か月ぶりに、ESXi Arm Edition の新しいバージョンの登場です。今回は  version 1.7 で、今回もまだ vSphere 7.0 0 ベースで、Build 1902576 です。

flings.vmware.com

インストールは

前回の version 1.6 までもそうでしたが、今回もフレッシュインストールのみがサポートされます。インストールの際に「Preserve VMFS」を選択すれば、仮想マシンは消えることは無いのでインストール後にデータストアブラウザを開いて仮想マシンの再登録が可能です。x86 の ESXi とは異なりアップグレードはできません。このアップグレード必須というところはWebページの Requirements やドキュメントにも書かれていないのですが、CHANGELOG に記載があります。このあたりは flings なのでそこは我慢。

また、vCenter Server についても vCenter Server Appliance（VCSA）7.0 Update 1 は使えますが、FT や HA を使いたい、または DRS を使う場合は vCenter Server Appliance（VCSA）7.0.0c または 7.0.0d が必須になります。この vCenter Server Appliance（VCSA）7.0.0c (Build 16620007) または7.0.0d (Build 16749653) を使う場合は、別途 vmware-fdm-7.0c-16620014.arm64.vib または vmware-fdm-7.0d-16749671.arm64.vib を組み込む必要があります。組み込み方はドキュメント ESXi-Arm-Fling-Doc.pdf の27 ページからある「10. Enabling vSphere HA」を参照して行ってください。

なにが変わったの？

今回はとても小規模な修正にとどまっています。以下が新しく変わった点です。新しいハードウエアをサポートしたことがメインで、特に機能の追加や変更はありません。追加された新しいハードウエアのサポートは以下の通りです。

• Pine64 Quartz64 ボードの実験的サポート
• VMware SVGAドライバーのサポート
  （AS 上の Fusion と互換性あり、Fedora F35の黒い画面の問題は修正済）
• NUMA 対応 VMM、デュアルソケット Ampere Altra マシンのパフォーマンス向上
• IORT のないシステムの互換性の向上
• Debian 10 や Photon 4 などの新しい Linux カーネルゲスト OS のパフォーマンスの問題を修正
• A55 対応
• MM / VMK での TLBI 処理の改善
• アトミックオペレーションの競合の改善

私のようにラズパイ使いの人には特に影響はありません。

 ダウンロード情報

ダウンロードには My VMware アカウントが必要です。My VMware アカウントは個人でも作成できるので、リンクから My VMware アカウントを作成の後に、

ESXi Arm Edition | VMware Flings からイメージをダウンロードしてください。

この記事から読み始めた方のための補助情報

ESXi Arm Edition は単体でも使うことができますが、vCenter Server 配下でも

使うことができます。使用できる vCenter Server には以下の要件があります。

• ESXi-Arm ホストの管理には、vCenter Server Appliance（VCSA）7.0 以降が必要です。
• ESXi-Arm ホストで vSphere HA および vSphere FT を有効にしたいときは、vCenter Server Appliance（VCSA）7.0.0c または 7.0.0d を使います。また、vSphere DRS が必要な場合は VCSA7.0.0c または 7.0.0d を使用するとともに、VCSA7.0c の場合は vmware-fdm-7.0c-16620014.arm64.vib を、VCSA7.0d の場合は vmware-fdm-7.0d-16749671.arm64.vib をダウンロードし適用する必要があります。
  ※ vCSA によって適用する vib が異なりますので注意してください。
  ※vCSA 7.0.0c / 7.0.0d は VMware サイトの製品のダウンロードからダウンロードできます。
• vCenter Server Appliance（VCSA）7.0 Update 1以降を使用することは可能ですが、いくつかの制限があります。
  • vSphere DRSは機能が動作しません。
  • vCLS（vCenter Cluster Services）対策が必要です。（現在の vCenter Server Appliance は x86 ベースの仮想マシンのため、vCLS により分散コントロールプレーンサービスをESXiホストにデプロイしようとしてもできないため、ファイルの削除処理が走るとともに再度のデプロイ処理も走るため、延々と処理が続いているような状態になります。）

VCSA 7.0 U1 以降を使う場合は

どうしても VCSA 7.0.0c または VCSA 7.0.0d が入手できず VCSA 7.0 U1 以降を使わざるを得ない場合は、以下の KB を参考にして vCLS を無効にしてください。これにより、vCLS の動作が停止してメッセージも出なくなります。

kb.vmware.com

この vCLS 停止は既存の x86 の vSphere 7.0x でも有効なので、vCLS を使用しない場合はこの設定をするのもよいかもしれません。

vCentr Server Appliance は x86 ベースしかないので、ESXi Arm Edition 以外に最低 1台の x86 ESXi が必要になります。でも、それを準備すれば安価に vSAN まで使える vSphere 環境が得られるのは、家ラボやっている人には朗報です。ただし、私のように Raspberry Pi 4 で環境を作っている場合はそのホストのメモリーが 8GB しかないので、できることは最低限になります。例えば vSphere の資格を取るための勉強用としては良いかもしれませんが、本格的に vSphere ノウハウを習得するために家ラボを作る場合には、やはり x86 ホストは必要になるかなと思います。

どんなことに使えるの

もともと Raspberry Pi 4 は最大 8GB しかメモリーがありません。そのため、Raspberry Pi 4 の上で Arm ベースの仮想マシンは数動かせません。あくまでも vSphere 7 をテストしてみたい、または ARM 版の ESXi を体験したいなどの用途がメインになると思います。あとは、VMware の資格を取るための勉強の環境という使い方もあるでしょう。本番としては使うなとも書かれていますので、あくまでも評価という使い方になります。

過去の ESXi Arm Edition の記事

今までの記事のリストがここで見られますので、併せてご覧ください。

imaisato.hatenablog.jp

ちょっと登壇してしゃべります

ここで『Raspberry Pi で始める vSphere 7 超入門』というのを話します。ご興味ある方はどうぞ。
ニフクラ エンジニア ミートアップ 

fujitsufjct.connpass.com